Download Análisis de riesgo cualitativo de una Universidad
Document related concepts
no text concepts found
Transcript
Análisis de riesgo cualitativo de una Universidad 1. Alcance: Sistema de calificaciones del Tecnológico de Monterrey campus Estado de México. 2. Equipo de desarrollo del AR: Maestros, Doctores, Redes, Telecomunicaciones, Seguridad Informática, Administradores de los servidores y bases de datos. 3. Identificar amenazas: Falsificación de identidad, Ingeniería social, virus, gusanos, caballos de Troya, abstracción de información, corrupción o modificación de datos. 4. Priorizar amenazas: (1-7 siendo 7 la mayor amenaza). 7 Abstracción de información 6 Modificación de datos Amenaza Abstracción de información 5 Caballos de Troya Prioridad de la amenaza 7 4 Ingeniería Social 3 Falsificación de Identidad Impacto a la organización Perdida de información tanto personal y de calificaciones de los alumnos. Alteración de calificaciones por conveniencia. Modificación de datos 6 Caballos de Troya 5 Aberturas para futuros ataques. Ingeniería Social 4 Obtención de información. Falsificación de Identidad 3 Gusanos 2 Vulnerabilidad y falta de comunicación en la universidad. Infectar una red Virus 1 Infectar a un usuario 2 Gusanos 1 Virus Factor de riesgo total estimado 2% Poca gente posee el conocimiento para hacer este tipo de actividades. 3% Necesario de conocimiento avanzado de sistemas de seguridad. 13% Elaborar un caballo de Troya poca gente puede. 7% Contar con los recursos necesarios para elaborar el plan. 15% Es más fácil mentir y decir que eres alguien importante. 25% Se pueden encontrar en la red y utilizarlos. 35% Se pueden encontrar en la red y utilizarlos. 5. Prioridad en función del impacto: a) Abstracción de información, se puede vender la información personal de los alumnos y aprovecharse de los datos expuestos por el sistema. b) Modificación de datos, persona interna o externa puede modificar las calificaciones de alumnos, ayudar a pasar alguna materia o solo para sentir la emoción de entrar al sistema de calificaciones. c) Ingeniería social, obtención y conocimiento de las vulnerabilidades del sistema de calificaciones. d) Caballos de Troya, es posible obtener alguno por el Internet pero no es lo suficientemente específico para atacar el sistema que deseamos por lo tanto debe de sufrir modificaciones o crearlo desde cero. Planear un ataque a futuro. e) Falsificación de identidad, cuando las personas quieres obtener información son capaces de mentir y claro que la ignorancia y la falta de comunicación ayudan. Obtiene información, del sistema, datos y puede llegar hasta contraseñas. f) Gusanos, son muy comunes en la red, pero pueden causar grandes daños ya sea al sistema o a las computadoras que entran a dicho sistema. g) Virus, son mayormente conocidos y atacados por los antivirus de las computadoras por lo tanto no causaría daño a menos que fuera modificado y lanzado a la red de computadoras de la universidad. 6. Impacto total de la amenaza: (Se multiplica el porcentaje por la prioridad de la amenaza.) Abstracción de información es 1.4 Modificación de datos es 1.8 Caballos de Troya es 6.5 Ingeniería Social es 2.8 Falsificación de Identidad es 4.5 Gusanos es 5 Virus 3.5 7. Medidas de protección: a) Preventivos: antivirus, cambio de contraseñas determinado tiempo, tener comunicación para identificar una persona, mejorar la seguridad de la red, políticas de la universidad. b) Detección: Escanear los puertos abiertos, control de las MAC de cada individuo que entra al sistema, detectar código malicioso. c) Recuperación: Sniffer para detección de personas externas, servidor espejo para notar los cambios realizados por el atacante. d) Garantía: Ataque prueba al sistema, hacer ingeniería social y falsificación de identidad, monitoreo del sistema. Amenaza Abstracción de información Factor de riesgo total estimado 1.4 Modificación de datos 1.8 Caballos de Troya 6.5 Ingeniería Social 2.8 Falsificación de Identidad 4.5 Gusanos Virus 5 3.5 Posible control Costo del control Monitoreo, control de direcciones MAC, servidor espejo. Monitoreo, control de direcciones MAC, servidor espejo. Antivirus, escaneo de puertos y monitoreo Comunicación clara para identificar personas, bases de datos. Comunicación clara para identificar personas y bases de datos. Antivirus Antivirus $600,000.00 MN $600,000.00 MN $122,000.00 MN $300,000.00 MN $300,000.00 MN $1,000.00 MN $1,000.00 MN 8. Análisis costo/beneficio: La compra de un servidor espejo, monitoreo de las direcciones Mac atacan dos amenazas por lo cual el beneficio es doble para ese costo. Gracias a las alianzas con algunas empresas de tecnología se logra tener antivirus de forma gratuita y por lo tal no tiene ningún costo, mejoramiento de la comunicación y de las bases de datos igualmente sirven para controlar dos amenazas en resumen, invertir ayuda al beneficio de atacar varias amenazas. 9. Ordenar las medidas de protección: Primero contar con un buena comunicación, monitoreo de todo el sistema, buenas bases de datos, control de las direcciones MAC y por último los antivirus. 10. Reporte de análisis. El sistema de calificaciones de la universidad del Tecnológico de Monterrey campus Estado de México, los usuarios principales de este sistema son los docentes, por lo tanto se tiene un control con las direcciones MAC de cada persona. Por lo que cada persona tiene una máquina y una MAC para poder comunicarse con el sistema de calificaciones. En el análisis se encontró diferentes amenazas que pueden causar futuros ataques al sistema, para ser precisos se detectaron siete amenazas, se identificaron varios controles para estas amenazas, se necesita de conocimiento en tecnología y algo de malicia. Los beneficios de invertir en una comunicación adecuada y el monitoreo ayudan a mitigar las amenazas. Las siguientes amenazas fueron encontradas y se les asigno un factor de riesgo total, para logar asignar el factor de riesgo se multiplica el porcentaje por la prioridad de la amenaza. Abstracción de información es 1.4 Modificación de datos es 1.8 Caballos de Troya es 6.5 Ingeniería Social es 2.8 Falsificación de Identidad es 4.5 Gusanos es 5 Virus 3.5 Los controles que se identificaron para mejorar la seguridad y mitigar las amenazas son los siguientes, servidor espejo para tener la confiabilidad de la información, monitoreo del sistema, monitoreo de direcciones MAC, antivirus y bases de datos confiables, teniendo en cuenta que se debe de invertir para poder obtener una buena seguridad, detectamos que la comunicación es importante para combatir varias amenazas encontradas, así que por recomendación se debe contar con una comunicación más efectiva. Invirtiendo alrededor de $300,000.00 MN se logra el objetivo. Referencia Fernández P. (1997). Determinación de factores de riesgo. Fisterra.com. Recuperado de https://www.fisterra.com/mbe/investiga/3f_de_riesgo/3f_de_riesgo.asp #Cuantificación del riesgo